Facebook mengungkapkan cara NSO Group melalui spyware Pegasus bisa meretas WhatsApp hanya melalui panggilan telepon. Pegasus dapat mengaktifkan kamera, mikrofon, dan mengambil data-data pribadi meski telepon tidak diangkat oleh korban.
Dilansir dari Wired, Penasihat keamanan Facebook mengungkapkan kerentanan WhatsApp berasal dari jenis bug umum yang dikenal sebagai buffer overflow. Buffer adalah digunakan untuk menyimpan data tambahan.
Peretas dengan sengaja membebani buffer sehingga data meluap ke bagian lain dari memori ponsel. Hal ini mengakibatkan ponsel crash atau dalam beberapa kasus bisa dijadikan celah oleh peretas untuk mengambil kontrol lebih dari ponsel.
"Pada intinya tampaknya menjadi masalah buffer overflow yang sayangnya tidak terlalu jarang hari ini," kata CEO CryptoPhone asal Jerman, Bjoern Rupp.
Rupp mengatakan WhatsApp sangat bergantung pada VoIP (voice over internet protocol) kompleks yang dikenal memiliki kerentanan. Aplikasi yang menggunakan VoIP harus mengetahui panggilan masuk dan memberi tahu penerima telepon meski pengguna tidak mengangkatnya.
"Bug yang dapat dieksploitasi dari jarak jauh dapat ada dalam aplikasi apa pun yang menerima data dari sumber yang tidak terpercaya. Termasuk panggilan telepon WhatsApp yang menggunakan VoIP," kata Kepala Ilmuwan di Security Research Labs Karsten Nohl.
Baca Juga: Rekor Baru, WhatsApp Kirimkan 100 Miliar Pesan Saat Malam Tahun Baru
Nohl mengatakan semakin kompleks penguraian data, semakin banyak celah kesalahan. Jadi tentu ada celah untuk bug yang bisa dipicu meski tanpa mengangkat telepon
Dalam praktiknya, implementasi VoIP setiap layanan saling berbeda. Nohl menunjukkan bahwa segala sesuatunya menjadi lebih sulit ketika menawarkan panggilan terenkripsi ujung ke ujung (end to end encryption), seperti yang dilakukan WhatsApp.
Beberapa waktu lalu, Facebook Inc menggugat produsen Pegasus, NSO Group dengan tuduhan bahwa perusahaan Israel itu menggunakan malware untuk meretas ke dalam ponsel 1.400 orang dan melakukan pengawasan.
Sekitar 29 April hingga 10 Mei, NSO mengeluarkan kodenya atas server WhatsApp milik Facebook Inc yang menargetkan pengacara, jurnalis, aktivis hak asasi manusia, pembangkang politik, diplomat, dan pejabat senior pemerintah asing lain.
Pada 2 Oktober 2018, terjadi kasus pembunuhan wartawan asal Arab Saudi Jamal Khashoggi. Programmer Amerika, Edward Snowden menduga Arab Saudi menggunakan spyware Pegasus untuk melacak kegiatan dan menguntit wartawan yang dibunuh di konsulatnya sendiri perwakilan Turki.
Baca Juga: Mirip FB, WhatsApp Bakal Tampilkan Banyak Iklan di Status Tahun ini